虚拟专网安全准入控制技术的有效性探究

2020-10-14郭占鹏陈杨

网络安全技术与应用 2020年10期

◆郭占鹏陈杨

虚拟专网安全准入控制技术的有效性探究

◆郭占鹏陈杨

（32753部队湖北 430000）

随着各种网络技术逐渐增多，并被广泛应用到日常工作和生活中，信息跨越有线、无线网络，既给人们带来了便利，同时也带来了一些安全隐患。为此虚拟专网应运而生，在此基础上运用丰富的措施保证网络安全。本文首先详细说明虚拟专网安全准入控制技术的类型，然后概述虚拟专网安全准入控制系统框架，最后阐述虚拟专网安全准入控制技术的设计方案。

虚拟专网；安全准入；控制技术

随着国民经济和社会信息化的日益推进，网络和信息系统在现代社会中扮演着越来越重要的作用，政府、企业的应用层次不断深入，用户的网络应用也逐步增多，为了保证在低密级公网上传输高密级数据，虚拟专网（VPN）应运而生，科技研究者在此基础上，全面分析网络安全漏洞，综合运用隧道加密、用户认证、访问控制等技术，满足特定集团用户在安全、权限管控等方面的用网需求，维护虚拟专网的安全。虚拟专网安全准入控制系统可以起到防御的作用，保证使用者安全，为使用者营造安全的网络环境。

1 虚拟专网安全准入控制技术的类型对比

（1）思科网络接入控制技术

思科网络接入控制技术是指某一网络终端还未被接入至虚拟专网时，按照本地网络的安全策略运行。若一些不满足安全策略要求的网络终端想进入虚拟专网，该技术可以有效地阻止，并采用建立网络访问隔离区的方法，有效地隔离和控制那些网络终端，这类网络终端想进入和访问安全网络时，访问隔离区可以充分发挥出自身的隔离和控制作用[1]。

虚拟专网接入控制技术可以起到检查网络终端的作用，若客户终端想进入虚拟专网，首先要经过网络接入技术的检查，挑选那些不安全、具有危险性的客户终端，并对这类客户终端进行防御和限制。在虚拟专网安全准入控制技术体系中，经常会采用几种方法进行安全检查，如在互联网终端上安装一些正规的操作系统，这些系统需要经过官方授权；安装正规的杀毒软件，并且保证软件的正常运行等。如果使用者运用接入控制技术，那么访问网络需要具有一定的安全性，一旦访问的网络具有危险性，那么接入控制技术可以及时对该网络进行限制和控制。

图1 NAC over 802.1x方式认证流程

图2 NAC over L2-IP认证流程图

（2）微软公司开发的虚拟专网安全接入保护技术

微软公司开发的网络访问保护技术的安全策略，这种技术具有较高的强制性，首先检查和测定系统状态是否符合安全标准要求，若符合安全标准要求，方可放行进入至下一步操作中，若不符合安全标准，则会拒绝它的进入。虚拟专网安全接入保护技术旨在检测自动补救等方面的内容。微软公司曾开发了一些操作系统的组件，虚拟专网安全接入保护技术可以保证各种插件和系统的正常使用，如NAP客户端插件等，NAP平台可以为用户出具一套有效的检验方法，该方法可以检验出某个系统或者插件是否安全，以此判断客户终端符不符合安全标准，具不具备相应的安全性，以及是否满足安全策略的要求等，最终判断该客户终端的访问等级。

（3）可信网络计入技术

可信计算组织开发了针对虚拟专网安全准入控制的可信网络接入技术，并把该技术当作网络技术控制的标准框架。该框架依托可信组织开发的可信网络计算技术，达成可信主机控制客户终端的目的。可信网络接入技术框架十分常用和多见，可以和目前使用的各种网络设备和网络技术同时工作，控制网络的接入。

可信网络接入技术框架的工作原理是授权第三方进行工作，并在授权第三方的基础上研究出各种网络准入控制协议，使可信网络接入技术框架在多元化的网络环境下使用，提供各种各样的网络安全服务，比如访问政策等内容[2]。

以可信网络接入技术框架为基础建立的各种网络系统，都是运用预置平台配置等方法，评估那些尝试连接虚拟专网的客户终端。一旦客户终端无法满足安全策略的要求，就及时制止并拒绝它们访问虚拟专网。大多情况下，会对客户终端采取各种技术手段进行评估，而评估的目的大抵相同，主要是为了保证接入虚拟专网的客户终端的安全性，其中主要包括几个方面的内容，如管理补丁、控制设备等。但是上述的虚拟专网安全准入控制技术更加适合用在一般网络条件下，并不是特别适合用在虚拟专网条件下，因此，现阶段只能广泛使用普通的安全准入控制技术，缺少根据虚拟专网特点创造的安全准入控制技术[3]。

图3 系统框架

2 虚拟专网安全准入控制系统框架

（1）网络终端安全预防技术

通常情况下，为避免网络终端被各种危险因素破坏，都会采用一些措施来保护，如安装防毒系统、安装系统防火墙等。安全风险管理方案可以解决安全问题，它负责检测可能会导致安全隐患的条件，如扫描安全漏洞和安全隐患等。其中，为了防止数据泄露，研究出数据防泄露新型技术，不仅可以帮助安全技术阻挡客户终端和网络带来的安全隐患，还可以保护系统内部的各种数据，保证核心信息的安全，终端安全问题值得关注。

主机完整性控制的建立主要是为了检测硬件的状态、软件的配置等内容，可以依据各种条件进行检测，按照结果为系统防火墙制定相关的安全策略，进而更好的处理安全隐患问题。

分布式防火墙技术可以运用进程路径，阻断非法程序和危险因素，避免在管理过程中，修改完标识非法程序就可以进入。分布式防火墙技术可以根据各种通信端口的信息，筛选、过滤信息和数据，可以做到单向访问，并且可以以时间等内容为基础，制定与之相符的访问策略[4]。

（2）模块组成部分

当客户终端收到网关发送的信息和指令后，按照程序设计内容将信息传输到相应的程序上，完成解译工作。此过程中，规则解析、网络访问控制等模块也要协助工作，从而将虚拟专网和客户终端连接到一起。

规则解析模块是按照一定的标准将规则进行分类，在分类的过程中，全面了解和说明安全规则中的各个内容。分类工作难度较低，只需要按照传递信息中的特殊标志整理好各种信息后，将这些信息和文本进行匹配，将符合匹配标准的信息传送到具备破译功能的程序中，最终完成解译工作[5]。

网络防控控制模块是按照文本类型解译接受上个程序传递的信息，完成解译后，存储到固定的信息储存系统中。如果已经完成上述这两个环节的操作，就可以控制有需求的网络程序。

配置控制模块是接受一些解析模块传送的信息，此类信息大部分都是配置控制规则。按照文本形式将信息储存到提前准备好的数据结构中，并按照收到的配置控制规则对客户终端采用的处理器进行管理。

3 虚拟专网安全准入控制技术的设计方案

利用NAC准入控制系统，将接入交换机基于端口的802.1x认证方式与之相结合，设计出一套能够有效解决虚拟专网安全防护的实施方案。

（1）控制应用程序

控制应用程序实际上是在控制应用程序的同时控制网络的访问和登录。每种应用程序都有不同的功能和特点，为此在访问网络时，网关需要充分利用现有的安全策略，判断各个申请访问应用程序的安全性，采取相应的动作，如阻止访问等。这样可以提高应用程序的安全性，避免有危险性的应用程序进入到虚拟专网，保证虚拟专网的安全性[6]。